Notes et transcriptions du cours “Défis et enjeux de la cybersécurité” proposé par l' UBS1) sur la plateforme FUN MOOC.
Le droit de la cybercriminalité ou de la lutte contre la cybercriminalité est un droit extrêmement complexe très dense et en pleine évolution.
Mais on peut regrouper – et on le fait classiquement – les règles de la lutte contre la cybercriminalité en deux grands ensembles.
D’abord, le droit de la lutte contre la cybercriminalité incrimine des comportements (intentions coupables) qui sont commis à l’encontre des systèmes informatiques. Il s’agit d’aller directement attaquer un système informatique : on parle, en droit, de « systèmes de traitement automatisé des données » (STAD). Ce que l’on incrimine, c’est l’attaque du système informatique comme une fin en soi.
Ensuite, il y a une série d’infractions qui sont commises, non pas à l’encontre de systèmes informatiques mais à l’aide de systèmes informatiques. Il s’agit d’infractions qui pourraient très bien exister sans informatique : l’escroquerie par exemple. Imaginons que je me fasse passer pour quelqu’un je ne suis pas, afin d’obtenir de l’argent. Je prétends que je suis une personne avec une certaine qualité, et cette qualité-là va inciter quelqu’un à me donner des fonds. On n’a pas besoin de numérique pour ça, mais commettre cette escroquerie grâce aux technologies de l’information et de la communication va amplifier la possibilité d’effectuer ce comportement. On est donc sur quelque chose qui est commis à l’aide du numérique mais pas contre le numérique. C’est le cas pour de nombreux délits et crimes : extorsion, escroquerie, chantage, abus de confiance, usurpation d’identité, diffamation publique, injure publique, il y en a bien d’autres. Tous ces comportements délictueux ou criminels font aussi partie de la cybercriminalité.
Mais il y a des comportements qui sont plus complexes à qualifier, et le cas d’usage que nous allons voir maintenant en est un. C’est un cas qui concerne la cybercriminalité par rançongiciel. D’abord le rançongiciel (« ransomware » en anglais) est une attaque extrêmement courante car elle est lucrative. On dit parfois que certains régimes totalitaires lèvent des fonds grâce aux rançongiciels, et cette cybercriminalité par rançongiciels est extrêmement difficile à contrer.
Concrètement, un collaborateur va cliquer sur une pièce jointe sur laquelle il n’aurait pas dû cliquer et un logiciel malveillant va infecter les systèmes et les réseaux de l’entreprise et bloquer les systèmes ou chiffrer les données d’une manière qui fait que les systèmes et les données sont inutilisables. On ne peut plus allumer son ordinateur, ou bien quand on l’allume, on a un écran qui nous indique un message selon lequel on a été piraté mais on ne peut rien faire derrière. Ça peut durer très longtemps – soi-disant tant qu’on ne paye pas. La rançon est en bitcoins le plus souvent, c’est-à-dire dans cette cryptomonnaie quasiment intraçable.
Cette pression, cette contrainte qui est mise sur la victime, elle a pour but de soutirer de l’argent.
Voici le cas que nous allons prendre. Disons qu’une entreprise française de haute couture ne peut plus accéder à ses systèmes, ni à ses données. Sur les écrans de tous les ordinateurs du groupe, un texte s’affiche avec des logos et des pictogrammes. « Pour retrouver l’accès à vos systèmes et à vos données », dit le message, il faut payer en bitcoins l’équivalent d’1 million d’euros.
On n’a aucune assurance qu’on retrouvera ces données quand on aura payé la rançon. L’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) déconseille formellement le paiement de rançons, qui alimente en plus un système de criminalité par rançongiciel. Et d’ailleurs, l’ANSSI recommande dans un guide très détaillé et très commode sur la protection contre les attaques par rançongiciels, de déposer plainte.
Déposer plainte, oui mais pour quelle infraction ? Le Code pénal ne comporte pas le mot « rançongiciel ». Ce n’est pas le nom d’une infraction pénale.
Qu’est-ce que c’est ? Il nous reste deux solutions : soit on considère que l’attaque par rançongiciel est une extorsion et si la victime ne paye pas, ce sera une tentative d’extorsion. Soit on peut considérer qu’à partir du moment où le logiciel malveillant entre dans le système de traitements automatisés des données (le STAD) et modifie les données en chiffrant les informations, c’est un délit d’atteinte à un STAD qui est dans le code pénal à l’article 323-1 et suivants du code pénal où l’on a des textes qui disent explicitement que quand on entre frauduleusement et qu’on reste frauduleusement sur un STAD et bien on commet une infraction. Alors pourquoi faudrait-il choisir soit entre l’extorsion soit entre l’atteinte à un STAD ? Parce qu’il y a un principe en droit français : non bis in idem, c’est-à-dire qu’on ne peut pas être condamné deux fois pour le même fait. C’est assez logique au fond. On ne cumule pas l’ensemble des infractions qui pourraient être concernées par une seule intention coupable. Certes, le rançongiciel est une infraction qui pourrait avoir un certain degré de complexité, puisqu’on entre frauduleusement dans un STAD pour extorquer de l’argent.
Le droit français privilégiera certainement l’extorsion parce qu’entre extorsion et atteinte à un STAD, on a une différence entre la finalité et le moyen. L’extorsion c’est la finalité de l’intention coupable : on fait un rançongiciel pour lever des fonds frauduleusement, pour les extorquer sous la contrainte. Mais l’atteinte au STAD ça n’est qu’un moyen pour atteindre cette finalité.
Il y a un deuxième argument pour dire que c’est plutôt une extorsion qu’une atteinte au STAD. L’extorsion est punie de 7 ans d’emprisonnement, tandis que l’atteinte à un STAD est punie de 5 ans d’emprisonnement. Et il y a un principe qui est que quand on a le choix entre deux infractions pour un même fait, on va choisir celle qui est punie la plus sévèrement, parce que certes on ne peut pas cumuler, mais ce n’est pas non plus une raison pour diminuer systématiquement l’incrimination. Et dans notre cas, c’est un deuxième argument puisque l’extorsion est punie de 7 ans et le STAD de 5 ans. Pour toutes ces raisons, il est préférable de porter plainte pour extorsion en matière d’attaque par rançongiciel. Cela se fait cependant au prix d’un certain raisonnement juridique qui nécessite différentes étapes – et encore on ne les a pas toutes suivies ici parce qu’elles concernent plutôt des spécialistes de la matière pénale.